TrendLabs, ogólnoświatowe centrum badań i pomocy firmy Trend Micro, otrzymało ostatnio próbki nowego robaka rozprzestrzeniającego się za pośrednictwem popularnego programu Skype, który umożliwia połączenia VoIP. Robak ten, oznaczony nazwą WORM_SKIPI.A, wykorzystując funkcję czatu komunikatora Skype, wysyła wiadomości do osób z listy kontaktów użytkownika zarażonego komputera. Wiadomości te zawierają łącze, za którego pośrednictwem może zostać pobrana kopia robaka. W chwili pisania niniejszego artykułu większość raportów o infekcjach pochodziła z Tajwanu i Stanów Zjednoczonych (dokładne dane można znaleźć w Dodatku).
Objawem infekcji może być następująca bez udziału użytkownika zmiana stanu dostępności na Nie przeszkadzać oraz brak możliwości zmiany tego statusu lub otwarcia konsoli programu Skype. Dodatkowo wyświetlany jest obrazek - powyżej.
Charakterystyczną cechą robaka WORM_SKIPI.A jest to, że może on „maskować” faktyczne łącze, pod którym znajduje się jego kopia. Na przykład w chwili pisania niniejszego artykułu łącza te są widoczne dla odbiorcy jako pliki obrazów JPEG, natomiast w rzeczywistości kierują pod inny, złośliwy adres URL. Robak potrafi także wysyłać wiadomości „konwersacyjne” w różnych językach (w zależności od ustawień programu). Dzięki tej procedurze może on skłonić do kliknięcia podstawionego łącza nawet najostrożniejszych użytkowników, ponieważ sprawia ono wrażenie nieszkodliwego i pochodzącego od prawdziwych rozmówców z listy kontaktów. Poniższa ilustracja przedstawia zrzut ekranu z „rozmową” z udziałem robaka.
Część procedur uruchomionych przez robaka zamyka procesy związane z oprogramowaniem antywirusowym i zabezpieczającym. Ponadto modyfikuje on plik HOSTS w systemie, aby uniemożliwić dostęp do określonych adresów internetowych, w szczególności do serwisów internetowych poświęconych bezpieczeństwu.
Skype ma aktualnie około 220 milionów zarejestrowanych kont użytkowników, z których średnio około 9 milionów jest połączonych w tym samym czasie. Liczby te wskazują, że robak WORM_SKIPI.A mógłby się bardzo szybko rozprzestrzenić, gdyby nie został wykryty.
Trend Micro wykrywa tego robaka za pomocą pliku wzorców 4.709.00. Wszystkie związane z nim adresy URL zostały już zablokowane przez usługę In-the-cloud Reputation. Ponadto Trend Micro oferuje następujące produkty i usługi, które chronią użytkowników przed tym zagrożeniem:
• Ochrona bramy internetowej za pomocą produktów InterScan Web Security Suite (IWSS) lub Interscan Web Security Appliance (IWSA). Produkty te zapobiegają rozprzestrzenianiu się robaka przez skanowanie treści internetowych i blokowanie niebezpiecznych adresów URL wysyłanych przez robaka w wiadomościach.
• Ochrona komputera za pomocą pakietu Web Reputation Services (WRS). Programy OfficeScan i Internet Security (PC-Cillin) umożliwiają blokowanie adresów URL na poziomie przeglądarki, co zapobiega rozprzestrzenianiu się robaka, zaś funkcje skanowania w czasie rzeczywistym chronią użytkowników na poziomie systemu plików.
Użytkownicy komputerów już zainfekowanych przez robaka mogą wykonać następujące czynności:
1. Przeskanowanie komputera programem antywirusowym Trend Micro z użyciem najnowszego pliku wzorców i usunięcie plików wykrytych jako WORM_SKIPI.A. Inni użytkownicy mogą skorzystać ze skanera antywirusowego HouseCall, który firma Trend Micro udostępnia online.
2. Zastosowanie procedury ręcznej opisanej w bazie Trend Micro Virus Encyclopedia.
Więcej informacji na temat robaka WORM_SKIPI.A można znaleźć na stronach Trend Micro:
• Virus Encyclopedia
• Malware Blog
Komentarze
0Nie dodano jeszcze komentarzy. Bądź pierwszy!